820 likes | 1.23k Views
KEAMANAN SISTEM KOMPUTER. KEAMANAN DARI DEVIL PROGRAM. Taksonomi ancaman perangkat lunak / klasifikasi program jahat (malicious program) :
E N D
KEAMANAN DARI DEVIL PROGRAM Taksonomi ancaman perangkat lunak / klasifikasi program jahat (malicious program): • Program-program yang memerlukan program inang (host program). Fragmen program tidak dapat mandiri secara independen dari suatu program aplikasi, program utilitas atau program sistem. • Program-program yang tidak memerlukan program inang. Program sendiri yang dapat dijadwalkan dan dijalankan oleh sistem operasi.
Tipe-tipe program jahat : 1. Bacteria : • Program yang mengkonsumsi sumber daya sistem dengan mereplikasi dirinya sendiri. • Bacteria tidak secara eksplisit merusak file. Tujuan program ini hanya satu yaitu mereplikasi dirinya. • Program bacteria yang sederhana bisa hanya mengeksekusi dua kopian dirinya secara simultan pada sistem multiprogramming atau menciptakan dua file baru, masing-masing adalah kopian file program bacteria. • Kedua kopian in kemudian mengkopi dua kali, dan seterusnya.
2. Logic bomb : • logik yang ditempelkan pada program komputer agar memeriksa suatu kumpulan kondisi di sistem. Ketika kondisi-kondisi yang dimaksud ditemui, logik mengeksekusi suatu fungsi yang menghasilkan aksi-aksi tak diotorisasi. • Logic bomb menempel pada suatu program resmi yang diset meledak ketika kondisi-kondisi tertentu dipenuhi. • Contoh kondisi-kondisi untuk memicu logic bomb adalah ada atau tidak adanya file-file tertentu, hari tertentu dari minggu atau tanggal, atau pemakai menjalankan aplikasi tertentu. • Begitu terpicu, bomb mengubah atau menghapus data atau seluruh file, menyebabkan mesin terhenti, atau mengerjakan perusakan lain.
3. Trapdoor : • Titik masuk tak terdokumentasi rahasia di satu program untuk memberikan akses tanpa metode-metode otentifikasi normal. • Trapdoor telah dipakai secara benar selama bertahun-tahun oleh pemogram untuk mencari kesalahan program. • Trapdoor adalah kode yang menerima suatu barisan masukan khusus atau dipicu dengan menjalankan ID pemakai tertentu atau barisan kejahatan tertentu. Trapdoor menjadi ancaman ketika digunakan pemrogram jahat untuk memperoleh pengkasesan tak diotorisasi. • Pada kasus nyata, auditor (pemeriks) perangkat lunak dapat menemukan trapdoor pada produk perangkat lunak dimana nama pencipta perangkat lunak berlakuk sebagai password yang memintas proteksi perangkat lunak yang dibuatnya.
4. MALWARE • Sebab : konektivitas (jaringan/perangkatpenyimpanan portable) • Malvare = virus, adware, trojan horse, spyware • Suber = email, website, iklan pop-up, instant messenger, sertasitusdan program file sharing • MALWARE? Malware sebenarnyaadalahsingkatandarimalicious software yang berarti software yang khususdikembangkanuntukmenyusupataumerusaksistemkomputertanpasepengetahuanatauizinpemilik Tujuan : reproduksiselainitumerusaksistemkomputer, merusak data, ataumencuriinformasirahasia
WAJAH MALWARE • Virus • Worm • Backdoor • Trojan Horse • Adware/Spyware • Rootkit • Kode Mobile
Pengertian Virus • “A program that can infect other programs by modifying them to include a slighty altered copy of itself. A virus can spread throughout a computer system or network using the authorization of every user using it to infect their programs. Every programs that gets infected can also act as a virus that infection grows:: Fred Cohen”
Pengertian Virus • Pertama kali istilah “virus” digunakan oleh Fred Cohen pada tahun 1984 di Amerika Serikat. • Virus komputer dinamakan “virus” karena memiliki beberapa persamaan mendasar dengan virus pada istilah kedokteran (biological viruses). • Virus komputer bisa diartikan sebagai suatu program komputer biasa. Tetapi memiliki perbedaan yang mendasar dengan program-program lainnya,yaitu virus dibuat untuk menulari program-program lainnya, mengubah, memanipulasinya bahkan sampai merusaknya. Ada yang perlu dicatat disini, virus hanya akan menulari apabila program pemicu atau program yang telah terinfeksi tadi dieksekusi, disinilah perbedaannya dengan “worm”.
ASAL MUASAL VIRUS • 1949, John von Neumann, menggungkapkan ” teori self altering automata ” yang merupakan hasil riset dari para ahli matematika. • 1960, Lab BELL (AT&T), para ahli di lab BELL (AT&T) mencoba-coba teori yang diungkapkan oleh John von Neumann, dengan membuat suatu jenis permainan/game. Mereka membuat program yang dapat memperbanyak dirinya dan dapat menghancurkan program buatan lawan. Program yang mampu bertahan dan menghancurkan semua program lain, akan dianggap sebagai pemenangnya.
KRITERIA VIRUS Suatu program dapat disebut sebagai suatu virus apabila memenuhi minimal 5 kriteria berikut : • Kemampuan untuk mendapatkan informasi. • Kemampuan untuk memeriksa suatu file. • Kemampuan untuk menggandakan diri dan menularkan diri. • Kemampuan melakukan manipulasi. • Kemampuan untuk menyembunyikan diri.
Kemampuan untuk mendapatkan informasi • Pada umumnya suatu virus memerlukan daftar nama-nama file yang ada dalam suatu directory. Untuk apa? Agar dia dapat memperoleh daftar file yang bisa dia tulari. Misalnya, virus makro yang akan menginfeksi semua file data MS Word, akan mencari daftar file berekstensi *.doc.
Kemampuan memeriksa suatu program • Suatu virus juga harus bisa memeriksa suatu file yang akan ditulari, misalnya dia bertugas menulari program berekstensi *.doc, maka dia harus memeriksa apakah file dokumen tersebut telah terinfeksi ataupun belum, karena jika sudah, akan percuma menularinya lagi.
Kemampuan untuk menggandakan diri • Inti dari virus adalah kemampuan mengandakan diri dengan cara menulari file lainnya. • Suatu virus apabila telah menemukan calon korbannya maka ia akan mengenalinya dengan memeriksanya. Jika belum terinfeksi maka sang virus akan memulai aksinya penularan dengan cara menuliskan byte pengenal pada file tersebut, dan seterusnya mengcopikan/menulis kode objek virus diatas file sasaran. • Beberapa cara umum yang dilakukan oleh virus untuk menulari/menggandakan dirinya adalah :File yang akan ditulari dihapus atau diubah namanya. Kemudian diciptakan suatu file berisi program virus itu sendiri menggunakan nama file yang asli.Program virus yang sudah dieksekusi/load ke memori akan langsung menulari file-file lain dengan cara menumpangi seluruh file yang ada.
Kemampuan mengadakan manipulasi • Rutin (routine) yang dimiliki suatu virus akan dijalankan setelah virus menulari suatu file. Isi dari suatu rutin ini dapat beragam mulai dari yang tidak berbahaya sampai yang melakukan perusakan. • Rutin ini umumnya digunakan untuk memanipulasi file atau pun mempopulerkan pembuatnya. • Rutin ini memanfaatkan kemampuan dari suatu sistem operasi (Operating System), sehingga memiliki kemampuan yang sama dengan yang dimiliki sistem operasi. Misal : • Membuat gambar atau pesan pada monitor. • Mengganti/mengubah-ubah label dari tiap file, direktori, atau label dari drive di PC. • Memanipulasi file yang ditulari. • Merusak file. • Mengacaukan kerja printer, dsb.
Kemampuan Menyembunyikan diri • Kemampuan menyembunyikan diri ini harus dimiliki oleh suatu virus agar semua pekerjaan baik dari awal sampai berhasilnya penularan dapat terlaksana.Langkah langkah yang biasa dilakukan adalah: • Program virus disimpan dalam bentuk kode mesin dan digabung dengan program lain yang dianggap berguna oleh pemakai. • Program virus diletakkan pada Boot Record atau track pada disk yang jarang diperhatikan oleh komputer itu sendiri. • Program virus dibuat sependek mungkin, dan hasil file yang diinfeksi tidak terlalu berubah ukurannya.
Siklushidup Virusmelaluiempatfase (tahap), yaitu : • Fasetidur (dormant phase). Virus dalamkeadaanmenganggur. Virus akantiba-tibaaktifolehsuatukejadiansepertitibanyatanggaltertentu, kehadiran program atau file tertentu, ataukapasitas disk yang melewatibatas. Tidaksemua virus mempunyaitahapini. • Fasepropagasi (propagation phase). Virus menempatkankopiandirinyake program lain ataudaerahsistemtertentu di disk. Program yang terinfeksi virus akanmempunyaikloning virus. Kloning virus itudapatkembalimemasukifasepropagasi.
Fasepemicuan (triggering phase). Virus diaktifkanuntukmelakukanfungsitertentu. Sepertipadafasetidur, fasepemicuandapatdisebabkanberagamkejadiansistemtermasukpenghitunganjumlahkopiandirinya. • Faseeksekusi (execution phase). Virus menjalankanfungsinya, fungsinyamungkinsepelesepertisekedarmenampilkanpesandilayarataumerusaksepertimerusak program dan file-file data, dansebagainya. Kebanyakan virus melakukankerjanyauntuksuatusistemoperasitertentu, lebihspesifiklagipada platform perangkatkerastertentu. Virus-virus dirancangmemanfaatkanrincian-rinciandankelemahan-kelemahansistemtertentu.
Klasifikasi tipe virus : • Parasitic virus. Merupakan virus tradisional dan bentuk virus yang paling sering. Tipe ini mencantolkan dirinya ke file .exe. Virus mereplikasi ketika program terinfeksi dieksekusi dengan mencari file-file .exe lain untuk diinfeksi. • Memory resident virus. Virus memuatkan diri ke memori utama sebagai bagian program yang menetap. Virus menginfeksi setiap program yang dieksekusi. • Boot sector virus. Virus menginfeksi master boot record atau boot record dan menyebar saat sistem diboot dari disk yang berisi virus. • Stealth virus. Virus yang bentuknya telah dirancang agar dapat menyembunyikan diri dari deteksi perangkat lunak antivirus. • Polymorphic virus. Virus bermutasi setiap kali melakukan infeksi. Deteksi dengan penandaan virus tersebut tidak dimungkinkan. Penulis virus dapat melengkapi dengan alat-alat bantu penciptaan virus baru (virus creation toolkit, yaitu rutin-rutin untuk menciptakan virus-virus baru). Dengan alat bantu ini penciptaan virus baru dapat dilakukan dengan cepat. Virus-virus yang diciptakan dengan alat bantu biasanya kurang canggih dibanding virus-virus yang dirancang dari awal.
Cara Penyebaran Virus • Disket, media storage R/W Media penyimpanan eksternal dapat menjadi sasaran empuk bagi virus untuk dijadikan media. Baik sebagai tempat menetap ataupun sebagai media penyebarannya. Media yang bias melakukan operasi R/W (Read dan Write) sangat memungkinkan untuk ditumpangi virus dan dijadikan sebagai media penyebaran. • Jaringan ( LAN, WAN,dsb) Hubungan antara beberapa computer secara langsung sangat memungkinkan suatu virus ikut berpindah saat terjadi pertukaran/pengeksekusian file yang mengandung virus. • WWW (internet) Sangat mungkin suatu situs sengaja ditanamkan suatu ?virus??? yang akan menginfeksi komputer-komputer yang mengaksesnya. • Software yang Freeware, Shareware atau bahkan Bajakan Banyak sekali virus yang sengaja ditanamkan dalam suatu program yang disebarluaskan baik secara gratis, atau trial version. • Attachment pada email, transfering file Hampir semua jenis penyebaran virus akhir-akhir ini menggunakan email attachment dikarenakan semua pemakai jasa internet pastilah menggunakan email untuk berkomunikasi, file-file ini sengaja dibuat mencolok/menarik perhatian, bahkan seringkali memiliki ekstensi ganda pada penamaan filenya.
Worm • Worm atau cacing komputer dalam keamanan komputer, adalah sebutan untuk sebuah program yang menyebarkan dirinya di dalam banyak komputer, dengan menggandakan dirinya dalam memori setiap komputer yang terinfeksi. Sebuah worm dapat menggandakan dirinya dalam sebuah sistem komputer sehingga dapat menyebabkan sistem tersebut mengalami crash sehingga mengharuskan server harus di-restart. Beberapa worm juga menghabiskan bandwidth yang tersedia. Worm merupakan evolusi dari virus komputer.
Worm : Program yang dapat mereplikasi dirinya dan mengirim kopian-kopian dari komputer ke komputer lewat hubungan jaringan. Begitu tiba, worm diaktifkan untuk mereplikasi dan propagasi kembali. Selain hanya propagasi, worm biasanya melakukan fungsi yang tak diinginkan. • Network worm menggunakan hubungan jaringan untuk menyebar dari sistem ke sistem lain. Sekali aktif di suatu sistem, network worm dapat berlaku seperti virus atau bacteria, atau menempelkan program trojan horse atau melakukan sejumlah aksi menjengkelkan atau menghancurkan. • Untuk mereplikasi dirinya, network worm menggunakan suatu layanan jaringan, seperti : Fasilitas surat elektronik (electronic mail facility), yaitu worm mengirimkan kopian dirinya ke sistem-sistem lain.
Kemampuan eksekusi jarak jauh (remote execution capability), yaitu worm mengeksekusi kopian dirinya di sistem lain. • Kemampuan login jarak jauh (remote login capability), yaitu worm log pada sistem jauh sebagai pemakai dan kemudian menggunakan perintah untuk mengkopi dirinya dari satu sistem ke sistem lain. Kopian program worm yang baru kemudian dijalankan di sistem jauh dan melakukan fungsi-fungsi lain yang dilakukan di sistem itu, worm terus menyebar dengan cara yang sama. • Network worm mempunyai ciri-ciri yang sama dengan virus komputer, yaitu mempunyai fase-fase sama, yaitu : Dormant phase, Propagation phase, Trigerring phase, Execution phase. • Network worm juga berusaha menentukan apakah sistem sebelumnya telah diinfeksi sebelum mengirim kopian dirinya ke sistem itu.
Trojan • Trojan horse atau Kuda Troya, dalam keamanan komputer merujuk kepada sebuah bentuk perangkat lunak yang mencurigakan (malicious software/malware) yang dapat merusak sebuah sistem atau jaringan. Dapat disebut sebagai Trojan saja. • Trojan berbeda dengan virus komputer atau worm karena dua hal berikut: - * Trojan bersifat "stealth" (siluman dan tidak terlihat) dalam operasinya dan seringkali berbentuk seolah-olah program tersebut merupakan program baik-baik, sementara virus komputer atau worm bertindak lebih agresif dengan merusak sistem atau membuat sistem menjadi crash. - * Trojan tidak mereplikasi dirinya sendiri, sementara virus komputer dan worm melakukannya.
Program-program trojan horse digunakan untuk melakukan fungsi-fungsi secara tidak langsung dimana pemakai tak diotorisasi tidak dapat melakukannya secara langsung. Contoh, untuk dapat mengakses file-file pemakai lain pada sistem dipakai bersama, pemakai dapat menciptakan program trojan horse. • Trojan horse ini ketika program dieksekusi akan mengubah ijin-ijin file sehinga file-file dapat dibaca oleh sembarang pemakai. Pencipta program dapat menyebarkan ke pemakai-pemakai dengan menempatkan program di direktori bersama dan menamai programnya sedemikian rupa sehingga disangka sebagai program utilitas yang berguna.
Program trojan horse yang sulit dideteksi adalah kompilator yang dimodifikasi sehingga menyisipkan kode tambahan ke program-program tertentu begitu dikompilasi, seperti program login. Kode menciptakan trapdoor pada program login yang mengijinkan pencipta log ke sistem menggunakan password khusus. Trojan horse jenis ini tak pernah dapat ditemukan jika hanya membaca program sumber. Motivasi lain dari trojan horse adalah penghancuran data. Program muncul sebagai melakukan fungsi-fungsi berguna (seperti kalkulator), tapi juga secara diam-diam menghapus file-file pemakai. • Trojan horse biasa ditempelkan pada program-program atau rutin-rutin yang diambil dari BBS, internet, dan sebagainya.
Mencegah Masuknya Virus • Install program anti-virus dan update-lah secara reguler • Jangan membuka attachment email dari orang yang tidak dikenal • Backup data secara berkala • Non aktifkan fasilitas autorun pada komputer kita, sehingga CD-ROM maupun flashdisk yang kita masukkan ke komputer tidak langsung menjalankan file yang ada di dalamnya Jangan menginstall software yang pembuatnya tidak jelas (tidak dapat dipercaya) • Jika anda terhubung langsung ke Internet cobalah untuk mengkombinasikan antivirus anda dengan Firewall, Anti-spamming dsb • Selalu waspada terhadap fle-file yang mencurigakan, contoh : file dengan 2 buah exstension atau file executable yang terlihat mencurigakan • Selalu scanning semua media penyimpanan eksternal yang akan digunakan, mungkin hal ini agak merepotkan tetapi jika auto-protect antivirus anda bekerja maka prosedur ini dapat dilewatkan. • Periksa setiap flashdisk yang dimasukkan apakah ada file autorun.inf, jika ada coba dilihat isinya, jika mengacu ke sebuah file .exe, .dll atau .scr yang aneh / hidden, segera hapus file-nya atau scan dengan antivirus Tampilkan semua ekstensi file windows, termasuk file system windows. Caranya : Di windows explorer buka menu Tools > Folder Options… kemudian pilih tab view Kemudian pilih (aktifkan) opsi “show hidden files and folder”, hilangkan check pada pilihan “Hide extensions for known file types” juga hilangkan tanda check pada “Hide protected operating system files (Recommended)”.
Langkah-Langkah Apabila telah Terinfeksi • Deteksi dan tentukan dimanakah kira-kira sumber virus tersebut apakah di disket, jaringan, email dsb. • Jika anda terhubung ke jaringan maka ada baiknya anda mengisolasi komputer anda dulu (baik dengan melepas kabel atau mendisable sambungan internet dari control panel) • Identifikasi dan klasifikasikan jenis virus apa yang menyerang pc anda, dengan cara melihat Gejala yang timbul, misal : pesan, file yang corrupt atau hilang dsb. • Scan dengan antivirus anda, jika anda terkena saat auto-protect berjalan berarti virus definition di dalam komputer anda tidak memiliki data virus ini, cobalah update secara manual atau mendownload virus definitionnya untuk kemudian anda install. Jika virus tersebut memblok usaha anda untuk mengupdate, maka upayakan untuk menggunakan media lain (komputer) dengan antivirus yang memiliki update terbaru. • Bersihkan virus tersebut. Setelah anda berhasil mendeteksi dan mengenalinya maka usahakan segera untuk mencari removal atau cara-cara untuk memusnahkannya di situs-situs yang memberikan informasi perkembangan virus tersebut. Hal ini perlu dilakukan apabila antivirus dengan update terbaru anda tidak berhasil memusnahkannya. • Langkah terburuk. Jika semua hal diatas tidak berhasil adalah memformat ulang komputer anda .
Deteksi. Begitu infeksi telah terjadi, tentukan apakah infeksi memang telah terjadi dan cari lokasi virus. • Identifikasi. Begitu virus terdeteksi maka identifikasi virus yang menginfeksi program. • Penghilangan. Begitu virus dapat diidentifikasi maka hilangkan semua jejak virus dari program yang terinfeksi dan program dikembalikan ke semua (sebelum terinfeksi). Jika deteksi virus sukses dilakukan, tapi identifikasi atau penghilangan jejak tidak dapat dilakukan, maka alternatif yang dilakukan adalah menghapus program yang terinfeksi dan kopi kembali backup program yang masih bersih
Antivirus • Solusi ideal terhadapancaman virus adalahpencegahan. Jaringandiijinkan virus masukkesistem. Sasaranini, takmungkindilaksanakansepenuhnya. Pencegahandapatmereduksisejumlahserangan virus. Setelahpencegahanterhadapmasuknya virus, makapendekatanberikutnya yang dapatdilakukanadalah :
Linux • Komponen Arsitektur Keamanan Linux : I.Account Pemakai (user account) • Keuntungan : • Kekuasaan dalam satu account yaitu root, sehingga mudah dalam administrasi system. • Kecerobohan salah satu user tidak berpengaruh kepada system secara keseluruhan. • Masing-masing user memiliki privacy yang ketat • Macam User : • Root : kontrol system file, user, sumber daya (devices) dan akses jaringan • User : account dengan kekuasaan yang diatur oleh root dalam melakukan aktifitas dalam system. • Group : kumpulan user yang memiliki hak sharing yang sejenis terhadap suatu devices tertentu.
II. Kontrol Akses secara Diskresi (Discretionary Access control) • Discretionary Access control (DAC) adalah metode pembatasan yang ketat, yang meliputi : • Setiap account memiliki username dan password sendiri. • Setiap file/device memiliki atribut(read/write/execution) kepemilikan, group, dan user umum. • Virus tidak akan mencapai file system, jika sebuah user terkena, maka akan berpengaruh pada file-file yang dimiliki oleh user yang mengeksekusi file tersebut.
Jika kita lakukan list secara detail menggunakan $ls –l, kita dapat melihat penerapan DAC pada file system linux : • d rw- - -x - - - 5 fade users 1024 Feb 8 12:30 Desktop • - rw- r - - r - - 9 Goh hack 318 Mar 30 09:05 borg.dead.letter
Perintah-perintah penting pada DAC : • Mengubah izin akses file : * bu : chmod < u | g | o > < + | - > < r | w | e > nama file, contoh : chmod u+x g+w o-r borg.dead.letter ; tambahkan akses eksekusi(e) untuk user (u), tambahkan juga akses write(w) untuk group (g) dan kurangi izin akses read(r) untuk other(o) user. * chmod metode octal, bu: chmod - - - namafile , digit dash ( - ) pertama untuk izin akses user, digit ke-2 untuk izin akses group dan digit ke-3 untuk izin akses other, berlaku ketentuan : r(read) = 4, w(write) = 2, x (execute) = 1 dan tanpa izin akses = 0.
Contoh : • Chmod 740 borg.dead.letter • Berarti : bagi file borg.dead.letter berlaku • digit ke-1 7=4+2+1=izin akses r,w,x penuh untuk user. • digit ke-2 4=4+0+0=izin akses r untuk group • digit ke-3 0=0+0+0=tanpa izin akses untuk other user. 2. Mengubah kepemilikan : chown <owner/pemilik><nama file> 3. Mengubah kepemilikan group : chgrp <group owner><nama file> 4. Menggunakan account root untuk sementara : • ~$su ; system akan meminta password • password : **** ; prompt akan berubah jadi pagar, tanda login sebagai root ~#
5. Mengaktifkan shadow password, yaitu membuat file /etc/passwd menjadi dapat dibaca (readable) tetapi tidak lagi berisi password, karena sudah dipindahkan ke /etc/shadow Contoh tipikal file /etc/passwd setelah diaktifkan shadow: • … • root:x:0:0::/root:/bin/bash • fade:x:1000:103: , , , :/home/fade:/bin/bash • …
Lihat user fade, dapat kita baca sebagai berikut : username : fade Password : x User ID (UID) : 1000 Group ID (GUID) : 103 Keterangan tambahan: - Home directory : /home/fade Shell default : /bin/bash Password-nya bisa dibaca (readable), tapi berupa huruf x saja, password sebenarnya disimpan di file /etc/shadow dalam keadaan dienkripsi : … root:pCfouljTBTX7o:10995:0::::: fade:oiHQw6GBf4tiE:10995:0:99999:7:::
Perlunya Pro aktif password • Linux menggunakan metode DES (Data Encription Standart) untuk password-nya. User harus di training dalam memilih password yang akan digunakannya agar tidak mudah ditebak dengan program-program crack password dalam ancaman bruto force attack. Dan perlu pula ditambah dengan program Bantu cek keamanan password seperti :
Passwd+ : meningkatkan loging dan mengingatkan user jika mengisi password yang mudah ditebak, ftp://ftp.dartmouth.edu/pub/security • Anlpasswd : dapat membuat aturan standar pengisian password seperti batas minimum, gabungan huruf besar dengan huruf kecil, gabungan angka dan huruf dsb, ftp://coast.rs.purdue.edu/pub/tools/unix/
III. Kontrol akses jaringan (Network Access Control) • Firewall linux[1] : • alat pengontrolan akses antar jaringan yang membuat linux dapat memilih host yang berhak / tidak berhak mengaksesnya. • Fungsi Firewall linux : • Analisa dan filtering paket • Memeriksa paket TCP, lalu diperlakukan dengan kondisi yang sudah ditentukan, contoh paket A lakukan tindakan B. • Blocking content dan protocol • Bloking isi paket seperti applet java, activeX, Vbscript, Cookies • Autentikasi koneksi dan enkripsi • Menjalankan enkripsi dalam identitas user, integritas satu session dan melapisi data dengan algoritma enkripsi seperti : DES, triple DES, Blowfish, IPSec, SHA, MD5, IDEA, dsb. • [1] Untuk membedakan firewall yang built-in di linux dengan firewall dedicated yang banyak digunakan dalam teknologi jaringan, maka digunakan istilah firewall linux.
Tipe firewall linux : • Application-proxy firewall/Application Gateways Dilakukan pada level aplikasi di layer OSI, system proxy ini meneruskan / membagi paket-paket ke dalam jaringan internal. Contoh : software TIS FWTK (Tursted Information System Firewall Toolkit) • Network level Firewall, fungsi filter dan bloking paket dilakukan di router. Contoh : TCPWrappers, aplikasinya ada di /usr/sbin/tcpd. Cara kerjanya : Lihat isi file /etc/inetd.conf :
... telnet stream tcp nowait root /usr/sbin/telnetd shell stream tcp nowait root /usr/sbin/rshd pop3 stream tcp nowait root /usr/sbin/pop3d … dengan diaktifkan TCPwrappers maka isi file /etc/inetd.conf : ... telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd shell stream tcp nowait root /usr/sbin/tcpd in.rshd -L pop3 stream tcp nowait root /usr/sbin/tcpd in.pop3d …
setiap ada permintaan layanan jarak jauh, dipotong dulu dengan pencocokan rule set yang telah diatur oleh tcp in, jika memenuhi syarat diteruskan ke file yang akan diekseskusi, tapi jika tidak memenuhi syarat digagalkan. • [1] Untuk membedakan firewall yang built-in di linux dengan firewall dedicated yang banyak digunakan dalam teknologi jaringan, maka digunakan istilah firewall linux.
Pengaturan TCPWrapper dilakukan dengan mengkonfigurasi 2 file, yaitu : • /etc/host.allow host yang diperbolehkan mengakses. • /etc/host.deny host yang tidak diperbolehkan mengakses.
Enkripsi (encryption) • Penerapan Enkripsi di linux : • Enkripsi password menggunakan DES ( Data Encryption Standard ) • Enkripsi komunikasi data : • Secure Shell (SSH) Program yang melakukan loging terhadap komputer lain dalam jaringan, mengeksekusi perintah lewat mesin secara remote dan memindahkan file dari satu mesin ke mesin lainnya. Enkripsi dalam bentuk Blowfish, IDEA, RSA, Triple DES. Isi SSH Suite : • scp (secure shell copy) mengamankan penggandaan data • ssh (secure shell client) model client ssh seperti telnet terenkripsi. • ssh-agent otentikasi lewat jaringan dengan model RSA. • sshd (secure shell server) di port 22 • ssh-keygen pembuat kunci (key generator) untuk ssh Konfigurasi dilakukan di : • /etc/sshd_config (file konfigurasi server) • /etc/ssh_config (file konfigurasi client)
2. Secure socket Layer (SSL) mengenkripsi data yang dikirimkan lewat port http. Konfigurasi dilakukan di : web server APACHE dengan ditambah PATCH SSL.
V. Logging • Def : Prosedur dari Sistem Operasi atau aplikasi merekam setiap kejadian dan menyimpan rekaman tersebut untuk dapat dianalisa. • Semua file log linux disimpan di directory /var/log, antara lain : • Lastlog : rekaman user login terakhir kali • last : rekaman user yang pernah login dengan mencarinya pada file /var/log/wtmp • xferlog : rekaman informasi login di ftp daemon berupa data wktu akses, durasi transfer file, ip dan dns host yang mengakses, jumlah/nama file, tipe transfer(binary/ASCII), arah transfer(incoming/outgoing), modus akses(anonymous/guest/user resmi), nama/id/layanan user dan metode otentikasi. • Access_log : rekaman layanan http / webserver. • Error_log : rekaman pesan kesalahan atas service http / webserver berupa data jam dan waktu, tipe/alasan kesalahan • Messages : rekaman kejadian pada kernel ditangani oleh dua daemon : • Syslog merekam semua program yang dijalankan, konfigurasi pada syslog.conf • Klog menerima dan merekam semua pesan kernel